Querido diario:
Hoy es el vigesimo octavo día en las trincheras tecnológicas.
Nos encontramos en la frontera de nuestro campamento digital, observando los muros como centinelas. El tráfico de red fluye como caravanas entre territorios, algunas aliadas, otras potencialmente hostiles. Los reclutas están tensos. No por el ruido de la batalla, sino por el silencio peligroso de los paquetes invisibles que cruzan nuestras líneas sin ser detectados.
El sargento Tables nos hizo formar frente al muro y señaló el horizonte digital.
—“Cadetes, no basta con saber quién entra. Hay que saber desde dónde viene… y hacia dónde se dirige.”
El campo de batalla hoy no es el puerto.
Es el origen y el destino.
Un puesto avanzado aliado reportó un incidente crítico:
Sus defensas funcionaban, pero de forma ciega. Permitían conexiones SSH desde cualquier lugar del mundo y enviaban tráfico sensible hacia redes no confiables. El muro existía… pero no tenía dirección estratégica.
El enemigo aprovechó esa debilidad: escaneos desde redes externas y comunicaciones salientes hacia destinos sospechosos.
Comprendiendo de dónde viene y hacia dónde va el tráfico
El sargento Tables inició la inspección del muro con el comando táctico de reconocimiento:
sudo iptables -L -v -n
Esto nos permite ver:
-
Reglas activas
-
Interfaces involucradas
-
Origen y destino del tráfico
-
Contadores de paquetes (actividad enemiga)
Luego nos recordó una verdad fundamental del frente digital:
Un firewall no solo filtra puertos, filtra rutas.
Reglas por interfaz de red (control del punto de entrada)
Primero, limitamos el acceso SSH únicamente a la interfaz principal del bastión:
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
Explicación táctica:
-i eth0→ Solo tráfico que entra por esa interfaz- Evita accesos desde interfaces internas, VPN o túneles no controlados
Esto es vital en servidores con múltiples placas de red.
Sí, importa la placa de red: cada interfaz es una puerta distinta en la fortaleza.
Reglas por destino (bloqueo de rutas peligrosas)
El sargento nos ordenó bloquear comunicaciones hacia una red interna comprometida:
sudo iptables -A OUTPUT -d 192.168.1.0/24 -j DROP
Traducción militar:
- Ningún paquete de nuestro campamento puede comunicarse con esa zona contaminada
- Protección ante malware que intenta exfiltrar datos
Dos reglas adicionales relacionadas (origen y destino combinados)
Para reforzar el muro estratégico, desplegamos dos reglas clave:
sudo iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 22 -j ACCEPT
sudo iptables -A OUTPUT -o eth0 -p tcp --dport 443 -j ACCEPT
¿Qué logran estas reglas en la misión?
- Regla por origen específico
- Solo la red aliada 10.0.0.0/24 puede acceder por SSH
- Ideal para accesos administrativos seguros desde una VPN o red corporativa
- Regla por interfaz y destino de servicio
- Permitimos tráfico HTTPS saliente únicamente por la interfaz principal
- Evita fugas de datos por interfaces secundarias o túneles no autorizados
- Solo la red aliada 10.0.0.0/24 puede acceder por SSH
- Ideal para accesos administrativos seguros desde una VPN o red corporativa
- Permitimos tráfico HTTPS saliente únicamente por la interfaz principal
- Evita fugas de datos por interfaces secundarias o túneles no autorizados
¿Se pueden crear reglas que afecten solo a una red específica?
Sí, y es una táctica de guerra avanzada.
Ejemplo real en combate digital:
Bloquear tráfico proveniente de una red sospechosa hacia una IP pública del servidor:
sudo iptables -A INPUT -s 203.0.113.0/24 -d 198.51.100.10 -j DROP
Esto significa:
- Si el enemigo viene de esa red específica
- Y apunta a nuestra IP pública
- El muro lo detiene sin negociación
- Precisión quirúrgica en la defensa.
Ejemplo práctico en la operación del bastión
Escenario real:
Servidor con acceso administrativo solo desde red interna y salida web controlada.
Configuración estratégica:
sudo iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -j DROP
sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -d 10.10.10.0/24 -j DROP
Resultado en el campo de batalla:
- Acceso SSH restringido a red confiable
- Navegación web permitida
- Comunicación bloqueada hacia redes internas sensibles
Cada origen tiene un destino… y cada destino debe ser vigilado.
Cierre y conclusión
Al caer la noche, los reclutas comprendieron algo que ningún manual enseña con suficiente crudeza:
un firewall sin contexto es un muro ciego.
Hoy aprendimos que:
- El origen define la intención del tráfico
- La interfaz define por dónde entra el enemigo
- El destino revela el objetivo del ataque
El sargento Tables caminó lentamente por la muralla digital, observando las nuevas reglas grabadas en piedra lógica.
—“Cadetes, ahora no solo defendemos puertos… defendemos rutas.”
La misión ha sido cumplida.El muro ya no es una barrera pasiva, sino un sistema de defensa estratégico que entiende direcciones, rutas y amenazas.
Reclutas, revisen sus interfaces, analicen sus orígenes y cuestionen cada destino que su sistema permita. La seguridad real comienza cuando dejamos de pensar en puertos… y empezamos a pensar en trayectorias.
Mañana avanzaremos hacia la ofensiva interna: controlaremos las salidas, el reenvío y las rutas NAT, porque una fortaleza disciplinada no solo resiste ataques… también controla cada comunicación que abandona sus murallas.
Participen en los comentarios:
¿Desde qué redes permitirían acceso a su bastión digital y cuáles bloquearían sin dudar?
Y recuerden siempre las palabras del sargento Tables:
Comentarios
Publicar un comentario